Unileben und Kultur News

Internetsicherheit: Gefahr durch namenlose Cookies

Durch Forschung der TU Wien wurden wichtige Sicherheitslücken moderner Internettechnologie entdeckt. Nun arbeitet die internationale IT-Community daran, sie zu schließen.

Marco Squarcina präsentiert seine Ergebnisse

© Pedro Adão

Das Internet hat sich in den letzten Jahren technisch stark verändert, dadurch entstehen auch neue Sicherheitsprobleme. Das IT-Sicherheitsteam der TU Wien analysierte Sicherheitslücken, die sich durch das Zusammenspiel von Cookies und Webframeworks ergeben – das sind Softwarepakete, die heute oft zum raschen Erstellen von Webseiten verwendet werden. Dabei stellte man fest: Bei Browsern und Servern gibt es Fehler bei der Verarbeitung von Cookies, und diese Fehler können es in manchen Fällen erlauben, dass durch Attacken von außen Zugriff auf persönliche Accounts und die Durchführung unautorisierter Aktionen ermöglicht wird.

Die internationale IT-Sicherheitscommunity arbeitet nun daran, diese Lücken zu schließen. Bei zwei der renommiertesten Sicherheitskonferenzen in Las Vegas und Anaheim (Kalifornien) wurden die Erkenntnisse nun erstmals präsentiert.

Der Code wird immer komplexer

Oft stellt man sich den Zugang zu geschützter Information im Internet vor wie eine Tür mit Schloss: Wer den Schlüssel hat, oder gefinkelte Tricks kennt, kommt hinein. In Wahrheit ist die Sache heute aber viel komplizierter: Es gibt nicht das eine, wohldefinierte „Schloss“, sondern eine Vielzahl von Codes, die auf komplexe Weise zusammenspielen und von vielen Leuten laufend verändert werden. Schutz im Internet ähnelt eher einem undurchdringlichen Dickicht als einer verschlossenen Tür.

„Früher war das Internet bloß eine Distributionsplattform für Information. Heute ist es eine Distributionsplattform für Apps und Code“, sagt Marco Squarcina vom Institut für Logic und Computation der TU Wien. Für viele Webseiten werden heute sogenannte Frameworks verwendet – Software, die zahlreiche Funktionen enthält, damit nicht jeder wiederkehrende Schritt bei der Webseitenentwicklung jedes Mal neu programmiert werden muss. Die Webserver arbeiten mit Software, die sich über die Jahre ändert, dasselbe gilt für die Browser.

„Oft entstehen Sicherheitsprobleme erst durch dieses komplexe Zusammenspiel verschiedener Komponenten“, sagt Marco Squarcina. „Es kann sein, dass zwei dieser Komponenten für sich alleine betrachtet fehlerfrei arbeiten und sich an alle allgemein akzeptierten Vorgaben halten, doch wenn man sie kombiniert, ergeben sich plötzlich Lücken.“ Diese Lücken können etwa dazu führen, dass Angreifer von außen eine Web-Session übernehmen können und sich gegenüber einem Server als ein anderer Benutzer ausgeben können – etwa als legitimer Besitzer eines bestimmten Bankkontos.

Namenlose Cookies

Besonders beschäftig sich das Team mit Cookies – kleinen Datenportionen, die zwischen Server und Browser ausgetauscht werden, etwa um individuelle Nutzerdaten für den nächsten Besuch einer Webseite zu speichern. „Wir waren ziemlich schockiert, als wir herausfanden, welche Sicherheitslücken es hier derzeit gibt“, sagt Squarcina.

Cookies haben meist einen Namen, technisch sind aber auch namenlose Cookies erlaubt. In diesem Fall allerdings versagen gewisse Sicherheitsmaßnahmen. Das ermöglicht die folgende Angriffsvariante: "Der Angreifer besucht eine legitime Website, z. B. bank.com, und erhält eine Sitzungskennung, um mit dem Server zu kommunizieren", erklärt Marco Squarcina. "Das Opfer wird zu einer kompromittierten Subdomain - sagen wir hr.bank.com - geleitet. Diese Seite tauscht das Sitzungscookie im Browser des Opfers gegen das Sitzungscookie des Angreifers aus. Wenn sich das Opfer nun erneut bei bank.com anmeldet, kann sich der Angreifer ebenfalls anmelden, weil nun ja beide dieselbe Sitzungskennung verwenden."

Auf diese Weise kann der Angreifer eine falsche Identität annehmen. Er kann so mit dem Webserver kommunizieren, als ob er das Opfer wäre, und unerwünschte Aktionen durchführen oder Zugang zum Website-Konto des Opfers erhalten.

Keine zentrale Sicherheitsbehörde

Bei Autos gibt es klare gesetzliche Vorgaben, welche Sicherheitskriterien sie einhalten müssen, um eine Zulassung zu bekommen. Im Internet ist es komplizierter. „Webstandards werden von internationalen Organisationen verfasst und von Experten überprüft, aber es liegt in der Natur des Internets, dass es keine zentrale Behörde gibt, die durchsetzt, dass diese Standard allgemein übernommen werden. Und manchmal, wie in diesem Fall, liegen die Probleme auch in der Norm selbst", sagt Marco Squarcina. "Die Sicherheit im Internet entwickelt sich weiterhin ziemlich ungeordnet weiter. Wenn wir Sicherheitslücken wie diese entdecken, setzen wir uns mit allen betroffenen Parteien in Verbindung und diskutieren mögliche Lösungen. Große Unternehmen wie Google haben eigene Sicherheitsteams, die das Problem verstehen und die Lücken schnell schließen können. Aber bei kleinen Open-Source-Projekten ist zusätzlicher Aufwand nötig, um das Problem im Detail zu erklären. "

Die wichtigsten Sicherheitslücken rund um die an der TU Wien entdeckten Probleme hält Marco Squarcina nun für geschlossen, gewisse Gefahren bleiben aber noch bestehen. Bei zwei wichtigen Sicherheitskonferenzen in den USA präsentierte Squarcina seine Erkenntnisse nun der internationalen Community – das soll dabei helfen, das weltweite Bewusstsein dafür zu schärfen und die Lücken nachhaltig zu schließen.

Zum Weiterlesen

Gefahr aus der Subdomain, öffnet eine externe URL in einem neuen Fenster

Originalpublikation

M. Squarcina et al., Usenix Security Symposium (2023), öffnet eine externe URL in einem neuen Fenster

Rückfragehinweis:

Dr. Marco Squarcina
Institut für Logic and Computation
Technische Universität Wien
+43 1 58801 192607
marco.squarcina@tuwien.ac.at

Aussender:
Dr. Florian Aigner
PR und Marketing
Technische Universität Wien
Resselgasse 3, 1040 Wien
+43 1 58801 41027
florian.aigner@tuwien.ac.at